A szakmabeliek és a leendő felhasználók régóta várták az elektronikus aláírásról szóló törvény elfogadását, hiszen mindenki azt reméli, hogy jogilag is támaszt nyernek a papírhegyek eltüntetésére, a személyes részvétel nélküli ügyintézésre, a távollévők közötti jogügyletek – például az elektronikus kereskedelem – fejlesztésére irányuló törekvések. Az alábbiakban a törvényi háttérből kiindulva a közeljövő felhasználóinak próbálunk néhány döntési szempontot felvázolni.
A nyilvános kulcsú kódoláson alapuló (PKI) technológiák – amelyek az e-szignónak is alapját képezik – régóta jelen vannak hétköznapjainkban. A vállalati felhasználók mindennapi munkájuk során számos ilyen alkalmazást használnak, amikor állományaikat titkosítják, leveleiket aláírják, vagy ha otthonról szeretnének dolgozni, egyszerűen egy VPN (Virtual Privat Network) csatornát építenek ki a céghez, belépéskor pedig login és jelszó helyett „tanúsítvánnyal” igazolják magukat.
A szabályozás ugyan a fenti alkalmazások közül csak a digitális aláírásra korlátozódik, bizonyos értelemben mégis kiszélesíti a felhasználhatóságot: legális keretet ad olyan, eddig csak „jogi félhomályban” létező szolgáltatásoknak, mint például az internetbanking-rendszerben adott átutalási megbízás.
Alapvető, hogy a törvény kimondja: csak azért, mert nem papíron van, a dokumentumot, bizonyítékot nem lehet visszautasítani. A bíróság ugyanakkor a legtöbb esetben mérlegelheti, hogy a beadott és elektronikusan aláírt szöveget hitelesnek tekinti-e, vagy sem.
Az egyetlen kivétel ez alól az olyan aláírás, amely minősített, azaz állami szerv (Hírközlési Főfelügyelet) által bevizsgált, biztonságos aláírás-létrehozó eszközzel (BALE) és szintén szigorú vizsgálaton átesett, minősített hitelesítésszolgáltató (MHSZ) által kiadott tanúsítvány segítségével készült. Az ilyen elektronikus dokumentum bizonyító erejű magánokiratnak számít.
Minden esetben használjuk?
Felmerül a kérdés, hogy a mindennapi életben szükséges-e mindig ilyen szigorú, a két tanú által megerősített nyilatkozattal egyenértékű, minősített aláírást használnunk.
A válasz nyilvánvalóan nem, hiszen számolnunk kell a minősített tanúsítvány és a megfelelő aláírás-készítő eszköz borsos árával is.
A törvény ezért használja a fokozott biztonságú elektronikus aláírás fogalmát – így nevezi azt az aláírást, amely a minősített aláíráshoz hasonló módon készül, de sem a kibocsátás eszköze, sem a tanúsítványt kiadó hitelesítő szervezet nem minősített. Ez is kielégíti az írásbeliség jogi követelményét. A felhasználást ekkor a kommunikálni kívánó felek kétoldalú szerződésben szabályozhatják. Zárt felhasználói csoportokban (vállalaton belül, beszállítókkal, szerződéses ügyfelekkel zajló kommunikációban) vélhetően ez lesz a legáltalánosabban elterjedt aláírásforma.
Belső hitelesítés vagy szolgáltatásvétel?
A „minősített tanúsítványt vásároljak, vagy elégedjek meg a fokozott biztonságúval?” kérdés előtt azt kell eldönteni, hogy nem érdemesebb-e saját hitelesítő rendszert üzemeltetni.
Az Icon az elmúlt néhány évben sikeresen állított üzembe belső hitelesítésszolgáltató rendszereket ipari, pénzügyi és kormányzati területen egyaránt. Az ilyen hitelesítő megoldások a vásárolt tanúsítványokkal szemben elsősorban nagyfokú testre szabhatóságukkal tűnnek ki. „Kézben van” a tanúsítványok tartalma, a hitelesítési és visszavonási politika, a hitelesítő rendszerek összekapcsolhatók a dolgozó- vagy ügyféladatbázissal. A belső hitelesítés hátránya, hogy komoly IT-beruházást igényel, amit a szakképzett üzemeltetői állomány biztosításának költsége is terhel.
A saját, belső hitelesítésszolgáltató rendszer minősíttetésén gondolkodni sem érdemes, mivel ez a néhány tízmilliós árat rögtön a milliárdos nagyságrendbe emeli. (Ez az ára az „a bíróság mérlegelés nélkül hitelesnek fogadja el” félmondatnak.)
Fontos a rendszerszemlélet
Nem hiába ír elő a törvény a minősített aláíráshoz bevizsgált eszközt: az igazán biztonságos felhasználáshoz valamilyen céleszköz (például chipkártya) szükséges.
Ne feledjük azonban, hogy az egész rendszer biztonsági szintje határozza meg az adat, esetünkben az aláírás biztonságát. Mit ér a legbiztonságosabb eszköz, ha a felhasználó a jelszót a monitorra ragasztott cetlin „őrzi”?
Legyen szó akár minősített, akár nem minősített hitelesítésről, a PKI-kliensek kiválasztása, üzembe helyezése és további támogatása, a dolgozók megfelelő képzése, a belső IT-biztonsági politika, a szabályzatok kidolgozása mind-mind nagy körültekintést kívánó feladat. A rendszer összetettsége miatt érdemes az IT-biztonsággal „főállásban” foglalkozó szakember segítségét igénybe venni akkor is, ha nem szolgáltatót építünk, „csak” felhasználói oldalon vezetünk be e technológiára épülő biztonsági alkalmazásokat.
Forrás: Prím Online
Kapcsolódó cikkeink:
Kulcs a biztonságért. Tárgyalásra kész az e-aláírásról szóló törvény
Véleményvezér
Legyél hatósági főállatorvos állatorvosi diploma nélkül
Kevés a hatósági állatorvos.
Kormányváltó hangulat
Oda a Fidesz népszerűsége.
Sok nagy okos már világháborút lát
Az orosz ballisztikus rakéta bevetése egy teszt volt.
Súlyos higiéniai problémák miatt megbüntették a szekszárdi kórházat
A büntetés mértéke nevetséges.
Bécsben olcsóbb lakni, mint Budapesten
A jövedelemhez képest Bécsben a legolcsóbb a lakhatás egész Európában.
Obszcén szavakkal fideszes nyugdíjas kommandó fogadta Magyar Pétert a miskolci gyermekotthon előtt
A nyugdíjas fizetések nagyon felizgultak Magyar Péter látogatása miatt.